Cyber- und Informationsraum

„Liebe Hacker, hiermit laden wir Sie herzlich ein…“

„Liebe Hacker, hiermit laden wir Sie herzlich ein…“

Datum:
Ort:
Deutschland
Lesedauer:
4 MIN

ITInformationstechnik-Sicherheitsforschende sind ab dem 22. Oktober 2020 dazu aufgerufen, die Bundeswehr aktiv auf Schwachstellen in ihren ITInformationstechnik-Systemen hinzuweisen. So sollen diese noch sicherer werden, erklärt der Chief Information Security Officer der Bundeswehr (CISOBwChief Information Security Officer), Generalmajor Jürgen Setzer.

Ein Laptop steht auf einem Schreibtisch. Der Bildschirm zeigt eine Sicherheitsbarriere.

Die Bundeswehr ruft ITInformationstechnik-Sicherheitsforschende aktiv auf Schwachstellen in ihren ITInformationstechnik-Systemen zu melden.

Bundeswehr/Stefan Uj

Herr General, seit heute verfügt die Bundeswehr über eine eigene Vulnerability Disclosure Policy der Bundeswehr (VDPBwVulnerability Disclosure Policy der Bundeswehr). Was kann man sich darunter vorstellen?

Die Vulnerability Disclosure Policy dient dazu rechtliche Rahmenbedingungen zu schaffen, damit externe Dritte ihre Kenntnisse über Schwachstellen in öffentlichen Bundeswehr-Webauftritten und Netzübergängen sicher mit uns teilen können.  

Warum ist gerade für die Bundeswehr eine solche Policy wichtig?

Die Bundeswehr legt größten Wert auf die Sicherheit ihrer ITInformationstechnik-Systeme. Trotz sorgfältiger Implementierung, Konfiguration und Tests können dennoch Schwachstellen vorhanden sein.

Die Anwendung der Vulnerability Disclosure Policy der Bundeswehr kann als Ergänzung zu eigenen Untersuchungen Informationen zu unbekannten Schwachstellen und Sicherheitslücken in unseren Systemen liefern. Sie ist damit die Voraussetzung, diese Schwachstellen und Lücken zu schließen und so das Risiko eines erfolgreichen Angriffs gegen unsere ITInformationstechnik zu vermindern.

Der Geschäftsbereich BMVgBundesministerium der Verteidigung sowie die Bundeswehr sind im deutschen Behördenumfeld Vorreiter einer solchen Policy.


An wen richtet sich die VDPBwVulnerability Disclosure Policy der Bundeswehr?

Die VDPBwVulnerability Disclosure Policy der Bundeswehr richtet sich an alle ITInformationstechnik-Sicherheitsforscherinnen und -forscher, also die gutgesinnten Hacker, die uns als Bundeswehr eine in unseren Systemen entdeckte Schwachstelle mitteilen möchten. 

Soldaten sprechen mit zivilen Mitarbeitern

Stellvertreter Inspekteur CIRCyber- und Informationsraum und Chief Information Security Officer der Bundeswehr, Generalmajor Jürgen Setzer, setzte am 22. Oktober 2020 die Vulnerability Disclosure Policy der Bundeswehr in Kraft.

Bundeswehr / Martina Pump

Einfach gesagt, fordern Sie nun Hacker aktiv auf in die Netze der Bundeswehr einzudringen. Besteht da nicht für die Cyber-Sicherheit der Bundeswehr eine große Gefahr?

Keineswegs. Wir fordern die ITInformationstechnik-Sicherheitsforschenden auf, sich an unsere veröffentlichten Regeln zu halten. Dazu gehört zum Beispiel, dass die Schwachstelle oder das Problem nicht ausgenutzt, Informationen über die Schwachstelle auch nicht an dritte Personen oder Institutionen, ohne die Zustimmung der Bundeswehr, weitergegeben werden dürfen.

Erkennen wir kriminelle oder nachrichtendienstliche Absichten, oder werden dabei aktive Angriffe auf unsere ITInformationstechnik-Systeme, die Infrastruktur und Personen in der Bundeswehr bemerkt, werden wir uns natürlich weiterhin vorbehalten die Strafverfolgungsbehörden zu informieren.

Immer wieder wird betont, dass Cyber-Sicherheit nur gesamtstaatlich gewährleistet werden kann. Gibt es denn bereits andere Organisationen, die eine solche Policy nutzen, um Schwachstellen in ihrem ITInformationstechnik-System zu identifizieren?

Der Geschäftsbereich BMVgBundesministerium der Verteidigung sowie die Bundeswehr sind im deutschen Behördenumfeld Vorreiter einer solchen Policy. Bei vielen Wirtschaftsunternehmen in Deutschland (wie zum Beispiel der Deutschen Telekom) hat sich bereits die Möglichkeit der Schwachstellenmeldung als Mehrwert etabliert.

Natürlich sind daher auch im Behördenumfeld solche Meldestellen erstrebenswert, denn oft bleiben die Sicherheitslücken unbemerkt und werden dann erfolgreich bei Cyber-Angriffen ausgenutzt.

Gefundene Schwachstellen in ITInformationstechnik-Systemen werden in der freien Wirtschaft teuer bezahlt. Warum sollen nun gerade Cyber-Spezialistinnen und -Spezialisten Ihnen – ohne finanziellen Ausgleich – helfen das ITInformationstechnik-System der Bundeswehr sicherer zu machen?

Wir kaufen keine Schwachstellen an. Im Fokus steht die Sicherheit des eigenen ITInformationstechnik-Systems der Bundeswehr, um es den böswilligen Hackern schwerer zu machen in unser Netzwerk einzudringen oder andere Schäden anzurichten.

Wir setzen auf das Wissen und die Hilfe der Cybercommunity für ein sichereres Internet in Deutschland und Europa.

Zudem nutzen wir meist weit verbreitete kommerzielle Hard- und Software von Herstellern und können als staatliche Institution gegebenenfalls mehr Druck zur Verbesserung von fehlerhafter Software über das Bundesamt für Sicherheit in der Informationstechnik (BSIBundesamt für Sicherheit in der Informationstechnik) auf Hersteller ausüben als dass vielleicht der einzelne Finder oder die einzelne Finderin machen könnte.

Ein Soldat und ein Zivilist sitzen an einem Computermonitor, auf dem ein Quellcode angezeigt wird

Das Zentrum für Cyber-Sicherheit überwacht die ITInformationstechnik-Netze der Bundeswehr rund um die Uhr. Trotzdem können Sicherheitslücken unbemerkt bleiben.

Bundeswehr/Martina Pump


Wir wissen, die meisten Experten sind auf der Seite der „Guten“ und so erwarten wir hier eher die Motivation, auch etwas Gutes im Sinne des Gemeinwohls zu leisten.  Es steht der gemeinsame Sicherheitsgedanke des Internets im Vordergrund.

Dafür haben wir Respekt und zeigen dies auch öffentlich. Denn wenn Sicherheitsforschende uns eine Schwachstelle melden, erkennen wir diese Leistung mit der Namensnennung des Entdeckers auf unserer Dankesseite an. Wer kann schon von sich öffentlich behaupten, dass mit seiner Hilfe eine Schwachstelle bei der Bundeswehr gefunden und das Internet wieder ein wenig sicherer gemacht wurde? 

Als CISOBwChief Information Security Officer sind Sie für die Regelung und Überwachung der Informationssicherheit in der gesamten Bundeswehr verantwortlich. Welche weiteren Tools und Möglichkeiten haben Sie in der Bundeswehr zur Verfügung, um Ihre eigenen Netze zu schützen und sicherer zu machen?

Die Bundeswehr verfügt bereits über mehrstufige technische Absicherungsmaßnahmen. Hierzu zählt unter anderem nicht nur die Firewall-, Filter- und Sensortechnologie, sondern auch der Schutz der Endpunkte, an dem unsere Mitarbeiterinnen und Mitarbeiter tagtäglich ihre Arbeit verrichten. Dort können selbstverständlich auch menschliche Fehler oder Unachtsamkeiten auftreten. Dem entgegnen wir mit Ausbildung und Awareness. Zur Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen setzen wir Sicherheitsinspektionen und Auditings, Schwachstellenanalysen, Penetration Testing und Red Teaming ein.

von  PIZ CIR  E-Mail schreiben

Dieser Beitrag wird nicht dargestellt, weil Sie X in Ihren Datenschutzeinstellungen deaktiviert haben. Mit Ihrer Zustimmung aktivieren Sie alle X Posts auf bundeswehr.de.

Vulnerability Disclosure Policy

Die Bundeswehr legt größten Wert auf die Sicherheit ihrer ITInformationstechnik-Systeme. Informieren Sie uns über Schwachstellen.

Weiterlesen
VDPBwVulnerability Disclosure Policy der Bundeswehr

Danksagungen

Wir zeigen unseren Respekt auch öffentlich und erkennen Ihre Leistung an.

Weiterlesen